# Decodificador JWT

> Decodificador JWT gratuito executado no cliente. Decodifique header e payload, inspecione claims, expiração, emissor e timestamps sem enviar seu token.

- **Category:** Desenvolvedor
- **URL:** https://www.teafun.cyou/tools/jwt-decoder/
- **Privacy:** Runs entirely in your browser — no uploads, no account, no tracking.
- **Also known as:** jwt token, bearer token, claims decoder, jwt parser
- **Related tools:** [Formatador e Validador de JSON](https://www.teafun.cyou/tools/json-formatter/), [Codificador / Decodificador Base64](https://www.teafun.cyou/tools/base64-tool/), [Verificador de Cabeçalhos de Segurança HTTP](https://www.teafun.cyou/tools/http-headers-checker/)
- **Tags:** Data, Security, Text

## About

Decodifique cabeçalhos e payloads JWT localmente no seu navegador. Inspecione claims, expiração, emissor e timestamps sem enviar tokens para lugar nenhum.

## Como usar o decodificador de JWT

Cole o token completo (três segmentos separados por pontos) na entrada. A ferramenta divide nos pontos, decodifica Base64URL cada segmento e renderiza o cabeçalho e a carga como JSON formatado. Claims numéricos como `iat`, `nbf` e `exp` (segundos Unix desde 1970) são convertidos em datas ISO-8601 junto com o valor bruto. O banner de status relata expirado (`now > exp`), ainda não válido (`now < nbf`) ou ativo. Se a decodificação falhar, o erro identifica qual segmento estava malformado — geralmente um token truncado por copiar-colar, uma string Base64URL com caracteres faltantes, ou cola acidental de um ID de sessão opaco em vez de um JWT. Use Copiar para obter o JSON de qualquer segmento para inspeção adicional em `jq`, Postman ou seu IDE. O segmento de assinatura é mostrado bruto — verificação está intencionalmente fora do escopo.

## Por que a inspeção de JWT importa

Quando a autenticação falha, o primeiro passo de inspeção é sempre o token: quais claims estão presentes, expirou, o `aud` corresponde à API esperada, o `iss` é do servidor de autorização correto, o cliente solicitou o `scope` correto? Sem um decodificador local, desenvolvedores colam tokens de produção em sites aleatórios — cada cola é um vazamento em potencial de credenciais para quem quer que possua os logs, análises ou backend daquele site. A decodificação local de Base64URL interrompe o vazamento. Além da depuração, conhecimento de JWT importa para revisão de segurança: detectar um token `alg: none`, notar um `exp` anos no futuro, ou capturar um claim de função inesperado na carga leva segundos com um decodificador e minutos sem. JWTs são tokens portadores — posse é autorização. Tratá-los com cuidado durante inspeção é a mesma higiene que tratar credenciais de banco de dados de produção com cuidado.

_SEO title: Decodificador JWT – Inspetor de Tokens com Privacidade | TeaFun_

## FAQ

### Isto verifica a assinatura do JWT?

Não. Esta página apenas decodifica o header e o payload localmente. Ela não valida assinaturas nem confia no token.

### Por que usar isto em vez do jwt.io?

O TeaFun dá ênfase à decodificação com privacidade em primeiro lugar. Seu token permanece no navegador e nunca é enviado para processamento.

### Quais timestamps são exibidos?

Se presentes, exp, iat e nbf são convertidos de timestamps Unix em datas ISO legíveis.